LGPD e Compliance: alguns passos para seguir as diretrizes da lei.

A Lei Geral de Proteção de Dados – LGPD se aplica a todos aqueles que

realizam operações de tratamento de dados pessoais, sejam organizações
públicas ou privadas, pessoas físicas ou jurídicas.
O texto da Lei 13.709/18 estabelece, enfim, bases legais para legitimação do
tratamento de dados pessoais. E garante, dessa maneira, direitos aos titulares
dos dados como: acesso, correção, eliminação, portabilidade, revogação do
consentimento e, até mesmo, indenização no caso de danos ao consumidor.
1. Conceitos da LGPD
Alguns conceitos trazidos pela lei são fundamentais para que possamos
compreender a sua aplicabilidade. Vejamos, portanto:
1. 2. Sujeitos
Titular – pessoa a quem se referem, então, os dados que são objeto de
tratamento.
Agentes de tratamento – são dois os agentes: o responsável, também
denominado controlador, que recepciona e decide sobre o tratamento dos
dados dos titulares, e o operador que realiza o tratamento dos dados.
Agente de Proteção de Dados – pessoa natural, indicada pelo controlador, que
atuará, dessa forma, como um canal entre agentes (controlador e operador),
titulares e os órgãos competentes (autoridade nacional).
1. 3. Dados
Dados Pessoais – A informação relacionada a uma pessoa identificada ou
identificável, não se limitando, portanto, ao nome, sobrenome, apelido, idade,
endereço, podendo incluir dados de localização, placas de veículos, perfis de
compras, dados acadêmicos, históricos de compras, entre outros.
Dados Pessoais Sensíveis – Aqueles relacionados a características da
personalidade do indivíduo e suas escolhas pessoais, tais como origem racial
ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a
organização de caráter religioso, filosófico ou político, dados referentes a saúde
ou a vida sexual, dados genéticos ou biométricos, quando vinculados a uma
pessoa natural.
Dados anonimizados – Dados relativos a um titular que não possa ser
identificado, considerando, contudo, a utilização de meios técnicos razoáveis e
disponíveis na ocasião do seu tratamento.
1. 4. Ações
Tratamento dos dados – Operações realizadas com algum tipo de manuseio de
dados pessoais: coleta, edição, classificação, utilização e etc.
Anonimização – A utilização de meios técnicos e disponíveis no momento do
tratamento, por meio dos quais um dado perde a possibilidade de associação,
direta ou indireta, a um indivíduo.
Consentimento – A manifestação livre, informada e inequívoca pela qual o
titular concorda com o tratamento de seus dados pessoais para uma finalidade
determinada. Esse não é o único motivo que autoriza o tratamento de dados,
mas apenas uma das hipóteses.
Transferência internacional de dados – Transferência de dados pessoais para
país estrangeiro ou organismo internacional do qual o país seja membro.
LGPD
2. Quando a lei é aplicada?

Por outro lado, a lei não se aplica quando o tratamento dos dados é realizado
por uma pessoa física, seja para fins exclusivamente particulares e não
econômicos, bem como para fins exclusivamente jornalísticos e, ainda, com
finalidade artística, além dos tratamentos realizados para fins de segurança
pública e defesa nacional.

3. Princípios norteadores da LGPD

A Lei 13.709/18 estabelece que o tratamento dos dados pessoais deve
observar a boa-fé e os seguintes princípios, dessa maneira:
Finalidade do tratamento;
Compatibilidade do tratamento com as finalidades informadas ao titular;
Limitação do tratamento ao mínimo necessário para a realização de suas
finalidades;
Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma de
tratamento;
Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos
dados, de acordo com a necessidade e par ao cumprimento da finalidade de
seu tratamento;
Transparência aos titulares;
Utilização de medidas técnicas e administrativas aptas a proteger os dados
pessoais;
Prestação de contas, pelo agente, da adoção de medidas capazes de
comprovar a proteção de dados pessoais.
Além disso, há alguns pontos de atenção fundamentais que devem ser
observados para a aplicação dos princípios da LGPD. A linha mestra para o
tratamento de dados pessoais, por exemplo, é o consentimento pelo titular e a
informação de que tal tratamento está vinculado às finalidades apresentadas,
conforme o caso.

4. Exceções ao consentimento expresso

Pode haver, entretanto, situações de exceção em que o tratamento de dados
pessoais ocorre sem necessidade de consentimento expresso, com finalidade
específica declarada pelo titular, quais sejam:
Para o cumprimento de obrigação legal ou regulatória pelo controlador;
Quando necessário à execução de contrato ou de procedimentos preliminares
relacionados a contrato do qual seja parte o titular, a pedido do titular dos
dados;
Para o exercício regular de direitos em processo judicial, administrativo ou
arbitral;
Para a proteção da vida do titular ou de terceiro;
Quando necessário para atender aos interesses legítimos do controlador ou
terceiros;
Para a proteção do crédito, inclusive quanto ao disposto na legislação
pertinente.
5. Compliance como responsável pela adequação das organizações à
LGPD
Responsável por assegurar a conformidade legal dentro das organizações, o
setor de Compliance (funcionário, equipe interna ou, mesmo, consultoria
externa), então, carrega a desafiadora missão de adequar a empresa à LGPD
e, após a entrada em vigor da nova lei, acompanhar o desempenho da
organização efetuando os ajustes necessários.
Vale ressaltar, portanto, que a LGPD exigirá das empresas um aumento
significativo no nível de maturidade dos Programas de Compliance no que diz
respeito à privacidade e segurança de dados. Assim, o setor de conformidade
passará a contar com profissionais encarregados de desempenhar a função de
“agente de proteção de dados”, conforme estabelece a nova lei.
A LGPD trouxe consigo o dever de segurança, ética e responsabilidade quando
se trata de dados pessoais. O intuito é que as regras e princípios de proteção
de dados sejam incorporados pela instituição, passando a integrar sua missão
e seus valores, assim como ocorreu com as políticas anticorrupção após a
edição da Lei 12.846/13.
6. Passos do compliance
Diante de tudo o que foi abordado, enfim, elencamos passos importantes a
serem providenciados pelo setor de Compliance na aplicação das diretrizes
que regem a LGPD:
6. 1. Definição de um Agente de Proteção de Dados
A nomeação de um encarregado interno, que atuará como Agente de Proteção
de Dados, é essencial para que se promova, assim, a comunicação entre os
titulares dos dados pessoais, a própria organização e a futura autoridade
nacional responsável pela regulação e fiscalização das novas regras trazidas
pela LGPD. Portanto, este é o primeiro passo para a implementação do
compliance e adequação à LGPD.
6. 2. Diagnóstico da empresa
O segundo passo é um diagnóstico sobre a realidade da empresa no tocante
aos indicadores de conformidade com a LGPD, porque isto revelará o que resta
ser trabalhado para atender aos controles exigidos.
6. 3. Matriz de risco
Em seguida, é o momento de elaboração da matriz de risco (com base no
diagnóstico feito) e do plano de ação. Neste plano, então, devem ser inseridos
os controles técnicos, documentais e procedimentais, além da previsão de
treinamentos e campanhas de conscientização das equipes, dos parceiros,
fornecedores e clientes.
6. 4. Mapeamento do fluxo de dados
Depois de elaborar a matriz risco, o ideal é fazer, portanto, um mapeamento do
fluxo de dados para definição da nova governança junto à área de tecnologia
da informação, especialmente no que se refere aos controles de
consentimento. Trata-se do caminho a ser percorrido internamente: coleta do
dado, seu uso, compartilhamento, enriquecimento, armazenamento nacional ou
internacional, com ou sem uso de nuvem, eliminação e, também, portabilidade
dos dados.
6. 5. Código de Conduta
Posteriormente, vem a elaboração ou atualização do Código de Conduta da
empresa com vistas a disseminar a cultura de respeito à proteção de dados
pessoais.
6. 6. Política de Privacidade e Gestão de Dados Pessoais
Feito o Código de Conduta, prossegue-se, enfim, com a elaboração ou
atualização da Política de Privacidade e de Gestão de Dados Pessoais,
considerando os vários procedimentos trazidos pela nova lei sobre fluxo,
padrão de criptografia, guarda de logs e etc. Tais documentos, contudo, devem
ser assinados por todas as empresas do mesmo grupo econômico.
6. 7. Check list de verificação
O passo seguinte, desse modo, é a elaboração de um check list capaz de
verificar, previamente a qualquer contratação, se a outra parte também está em
conformidade com as novas regras de proteção de dados pessoais.
6. 8. Atualização de cláusulas em contratos com parceiros
Posteriormente, é aconselhado fazer a atualização das cláusulas de contratos
com parceiros e fornecedores que realizam qualquer tipo de tratamento de
dados. Atenção especial deverá ser voltada, dessa forma, àqueles parceiros
que fornecem soluções de gestão de informação, nuvem, e-mail, marketing, big
data, mídias sociais, dentre outros – todos os atos em parceria que envolvam
coleta de dados, produção, recepção, classificação, acesso, utilização,
transmissão, armazenamento, enriquecimento ou, mesmo, eliminação de
dados.
6. 9. Revisão e atualização de cláusulas em contratos com consumidores
finais
A atualização das cláusulas, então, deve ser sucedida de uma revisão e
atualização das cláusulas de contratos firmados com seus funcionários e
consumidores finais, incluindo-se, aqui, os termos de confidencialidade,
também denominados NDA.
6. 10. Termos de Uso e Política de Privacidade
Por fim, é o momento da elaboração ou revisão dos Termos de Uso e da
Política de Privacidade disponibilizada ao consumidor final, expondo com
clareza sobre o tratamento dos dados, a finalidade do seu uso, a justificativa
jurídica para tanto, além de novos direitos dos usuários como portabilidade,
exclusão, minimização de uso, limitação e outros.